Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
alex135

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста, как можно удалить такую хрень:
 
В директории windows\system32\drivers сидит файлик cobnzr.sys
 
В стандартном диспетчере задач не показывается, только anvir видит.
 
именно эта служба пытается лезть в инет по десяти разным адресам в секунду.
 
 - Напрямую не удаляется.
 - Все ветки регистра с таким названием не раскрываются, не удаляются, права на них не меняются.
 - unlocker не удаляет его
 - ragalyzer не удаляет ветки реестра
 - при загрузке с CD удалить его естественно удается, но при первой же загрузке (в безопасном режиме тоже) он снова на месте.
 
P.S  
Ни один антивир его не видит, в том числе drweb с загрузочного диска.

Всего записей: 60 | Зарегистр. 03-11-2004 | Отправлено: 02:04 14-11-2010 | Исправлено: alex135, 02:06 14-11-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alex135
 
Выполните правила, о которых говорится в шапке темы

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 02:42 14-11-2010
Feres



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите что за файл SearchAnonymizer.exe? находится здесь "C:\Users\feres\AppData\Roaming\OCS\SM" стоял в автозагрузке.

Всего записей: 176 | Зарегистр. 30-03-2009 | Отправлено: 18:40 14-11-2010
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
при загрузке с CD удалить его естественно удается, но при первой же загрузке (в безопасном режиме тоже) он снова на месте.  

это как минимум значит, что за ним следят и запускают его иные процессы, которые тоже надо убить.  
а ветки регистра можно порезать, подмаунтив куст к загруженному с флешки или СД РЕ-загрузочника


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:11 14-11-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJMC

Цитата:
все равно им не получилось сделать лог на первом компьютере.
И в безопасном режиме?
 
По второй машине.
 
Выполните скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\opera\setupapi.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('c:\windows\system32\wpbdfpm.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{C02F372C-0C38-D97D-E371-9311A959E111}');
 DeleteFile('c:\windows\system32\wpbdfpm.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.  
Компьютер перезагрузится.
 
Выполните скрипт в AVZ

Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи + лог ComboFix

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 19:51 14-11-2010
wasa123456

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здраствуйте. Не устанавливается ни NOD32, ни kaspersky 7, ни kaspersky 2009.  
Лог RSIT Ссылка
Лог AVZ Ссылка
Система XP SP3

Всего записей: 10 | Зарегистр. 11-03-2009 | Отправлено: 20:33 14-11-2010
DJMC



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
thyrannosaurus

Цитата:
По второй машине. Выполните скрипт в AVZ

спасибо, но в выходные не было интернета не увидел ответ, переустановил винду, тем более новую сборку скачал, разумеется все вирусы убились.

Всего записей: 12236 | Зарегистр. 26-09-2005 | Отправлено: 10:09 15-11-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wasa123456
Сделайте лог полного сканирования МВАМ

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 17:01 16-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, скоро мне фигня взорвёт мозг . Есть проблема в следующем:
Браузеры не открывают некоторые сайты: youtube.com, kinopoisk.ru,… ряд антивирусных оффсатов: drweb.com, esetnod32.ru, kaspersky.ru.  Список можно продолжать долго... Остальные сайты грузятся вполне адекватно, как и раньше.
 
Второй компьютер с тем же провайдером, с тем же роутером, с одинаковыми настройками открывает абсалютно всё, инет летает.
 
Пробовал открывать через Opera, Firefox, Explorer, результат не меняется, загрузка не начинается просто белое окно, через некоторое время Opera выдаёт надпись «Соединение закрыто удалённым сервером»
Пробовал отключать Nod32, безрезультатно.
Брандмаузер отключен, эффекта не даёт.
Проверял на вирусы, Nod32 нашёл 2 троянца, удалил, проверил DRweb в простом режиме глубоким анализом нашёл ещё 2, удалил, запустил minDrWebLiveCD-5.0.3, полная проверка, ничего не нашёл.
Файл hosts без лишних строк.
Если в адресной строке ввести IP сайта, он грузится.
Через LiveCD все сайты работают нормально.
 
В логах DRweb нашёл следующее:
C:\Documents and Settings\Admin\Application Data\winxrar\s.htm инфицирован Trojan.Fraudster.101 - удален
C:\Documents and Settings\Admin\Application Data\winxrar\winxrar.exe инфицирован Trojan.Fraudster.101 – удален
 
В реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Обнаружил куча строк-параметров, удалил всё кроме первой. После перезагрузки системы параметры восстановились.
Также в ветках перепутав с вышеописанной удалил все строки кроме первой:
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\Tcpip\Parameters\Persistent Routes
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet002\Services\Tcpip\Parameters\Persistent Routes
После перезагрузки параметры также восстановились
 
 
Надеюсь на вашу помощь и на свежие мысли! Переустановку винды пожалуйста не предлагайте.  
 
Win XP SP3.

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 16:43 19-11-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex Caspersky
route -f в командной строке и перезагрузка...

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 19:22 19-11-2010 | Исправлено: vallyol, 19:30 19-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol

Цитата:
route -f в командной строке и перезагрузка...

Что это?? Что это за команда? Конкретней пожалуйста! Что она мне даст?

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 19:49 19-11-2010
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alex Caspersky
route /? набрать и прочитать самому религия не позволяет?

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 20:31 19-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Если бы я знал как, и была бы возможность я бы не задовал таких вопросов! Логично? Кстате я атеист.
 
vallyol
Ввёл команду route -f, перезагрузился и о долгожданное чудо))) Все сайты открываются, всё работает по прежнему!
В реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
всё чисто! Спасибо большое за помощь, оказалось всё так просто!
_____________________________________
В общем как оказалось прыгал от счастья я не долго...  Неожиданно Opera закрылась, я включил её заного, и вновь всё та же проблема с непусканием на теже самые ссайты.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Опять переполнен!
 
Что же теперь мне делать?

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 21:09 19-11-2010 | Исправлено: Alex Caspersky, 21:31 19-11-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделать логи (см. шапку)
Файер включен?

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 21:33 19-11-2010 | Исправлено: vallyol, 21:39 19-11-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex Caspersky
Если Вы хотите профессиональной помощи, выполните указания в шапке этой темы.
 
vallyol
Простите, а Вы - кто?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:54 19-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Сейчас пишу со второго компьютера (комп№2). Дела стали ещё хуже.
При попытки пройти по ссылке в шапке чтобы скачать AVZ на заражённом компютере (комп№1) опера сразу закрылась.  
Скачал архив AVZ на флешку с помошью компа№2, запустил архив на компе№1 и WinRar тут же закрылся.
Перезагрузил заражённый комп№1 Explorer начал глючить! При попытки зайти в МП или в любую другую папку на раб.столе, рабочий стол проподал на секунду со всеми ярлыками и меню "Пуск".
После очередной перезагрузки рабочий стол начал проподпть сам по себе, каждые 2 секунды. Никаких действий произвести невозможно.
 
На руках имеется minDrWebLiveCD-5.0.3 как писал в первом посте, когда проблема была не так скверна, после полной проверки, ничего не нашёл. Интернет через LiveCD работал нормально.
 
И ещё одна неприятность, на компе№2 в случае чего записать образ iso не получиться, нет сторонней программы и установить её не удасться, это рабочий ноут бук, закрыты все права, пароль от админки не знаю. Cтоит XP.
 
Запустил на ночь DrWeb на LiveCD....

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 22:54 19-11-2010 | Исправлено: Alex Caspersky, 23:58 19-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
До сих пор проверяет диск "C", это более 12 часов, всего их 2, ...очень долго (был запущен не в графическом режиме, когда на чёрном экране прописываются адреса проверенных файлов) посмотреть нашёл что то или нет, не удаётся.  
 
Можно ли как-то в моём случае посмотреть и показать вам лог?
 
____________________
Сканирование завершилось, попрежнему ничего не нашёл.
Все значения Infected, Vjdifications и т.п.   :0/0
кроме Hachtool  там :2/2
числа сканированых файлов Scanned   :1517727/1295771
времни сканирования и скорости.
 
Что мне делать дальше? Ничего на компьютере сделать не возможено, рабочий стол страшно глючит!
Попробовал запустить AVZ через Total Commander, программа сразу закрывается после запуска

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 11:36 20-11-2010 | Исправлено: Alex Caspersky, 13:21 20-11-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex Caspersky
 
Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 13:52 20-11-2010
Alex Caspersky

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
thyrannosaurus
Отсканировал систему в безопасном режиме с потдержкой командной строки ключ ag=y:
 
avz_virusinfo_syscure.zip (со скриптом в шапке)
RSIT log.txt
RSIT info.txt

Всего записей: 246 | Зарегистр. 30-01-2010 | Отправлено: 14:51 20-11-2010 | Исправлено: Alex Caspersky, 17:44 20-11-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex Caspersky
В безопасном режиме вредоносов не видно.
А Вы можете запустить вот такую версию AVZ в обычном режиме? Если да - сделайте ею логи по информации из шапки. Если нет - сделайте лог с помощью GMER (тоже при обычном режиме загрузки).

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 18:47 20-11-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru